Zertifikatstransparenz-Richtlinie von Apple

Erfahre, wie du Compliance mit der Zertifikatstransparenz-Richtlinie von Apple sicherstellen kannst.

Authentifizierungszertifikate für öffentlich vertrauenswürdige Transport Layer Security-Server (TLS-Server) müssen die CT-Richtlinie (Certificate Transparency) von Apple erfüllen, damit sie auf Apple-Plattformen als vertrauenswürdig eingestuft werden.

Wenn Zertifikate unsere Richtlinie nicht erfüllen, führt dies zu einer fehlgeschlagenen TLS-Verbindung, wodurch die Verbindung einer App zu Internetdiensten oder die nahtlose Verbindung von Safari unterbrochen werden können.

Richtlinienanforderungen

Die Richtlinie von Apple erfordert mindestens zwei Signed Certificate Timestamps (SCT) aus einem CT-Protokoll – einmal genehmigt1 oder zum Zeitpunkt der Prüfung genehmigt2 – und entweder:

  • Mindestens zwei SCTs aus derzeit genehmigten CT-Protokollen, wobei ein SCT über die TLS-Erweiterung oder OCSP Stapling angegeben wird; oder

  • Mindestens einen eingebetteten SCT aus einem derzeit genehmigten Protokoll und mindestens die Anzahl der SCTs aus einmal oder derzeit genehmigten Protokollen, basierend auf dem in der nachstehenden Tabelle angegebenen Gültigkeitszeitraum.

Bei Zertifikaten mit einem notBefore-Wert größer oder gleich dem 21. April 2021 (2021-04-21T00:00:00Z) wird die Anzahl der eingebetteten SCTs basierend auf der Lebensdauer des Zertifikats angegeben3:

Zertifikatslebensdauer

Anzahl der SCTs aus separaten Protokollen

Maximale Anzahl von SCTs pro Protokolloperator, die für die SCT-Voraussetzung angerechnet werden

180 Tage oder weniger

2

1

181 bis 398 Tage

3

2

Bei Zertifikaten mit einem notBefore-Wert größer oder gleich dem 21. April 2021 (2021-04-21T00:00:00Z) wird die Anzahl der eingebetteten SCTs basierend auf der Lebensdauer des Zertifikats angegeben:

Zertifikatslebensdauer

Anzahl der SCTs aus separaten Protokollen

Weniger als 15 Monate

2

15 bis 27 Monate

3

27 bis 39 Monate

4

Mehr als 39 Monate

5

Bei Zertifikaten mit einem notBefore-Wert gleich oder größer 20210421T00:00:00Z KÖNNEN Protokolloperatoren Blattzertifikate ablehnen, die die serverAuth-EKU nicht enthalten.

Protokolloperatoren MÜSSEN mindestens 45 Tage im Voraus certificate-transparency-program@group.apple.com schriftlich über Änderungen an den akzeptierten Blattzertifikaten informieren, die von ihren Protokollen akzeptiert werden.

CT-Protokolle

Lade die Liste der aktuellen CT-Protokolle und das CT-Protokoll-Listenschema im JSON-Format.

1. Um als „einmal genehmigt“ zu gelten, muss der Zeitstempel im SCT zum Zeitpunkt der SCT-Ausstellung aus einem CT-Protokoll mit dem Status „Qualifiziert“ oder „Verwendbar“ ausgegeben worden sein.
2. Informationen zum Status des CT-Protokolls findest du im Zertifikatstransparenz-Protokoll-Programm von Apple: https://support.apple.com/HT209255
3. Die Gültigkeitsdauer (oder Lebensdauer) eines Zertifikats wird gemäß RFC 5280, Abschnitt 4.1.2.5, als „Zeitraum von notBefore bis einschließlich notAfter“ definiert.
a. Die Gültigkeitsdauer wird so gemessen, dass ein Tag 86.400 Sekunden entspricht. Jeder größere Zeitraum bedeutet einen zusätzlichen Gültigkeitstag.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: